Podle nedávné zprávy Světového ekonomického fóra vykazují větší organizace stabilní pokrok při zlepšování své kybernetické obrany, zatímco jejich menší protějšky mají potíže udržet krok. Mnoho větších podniků disponuje špičkovými bezpečnostními řešeními a specializovanými odborníky, zatímco SMB společnosti často postrádají potřebné zdroje, což vede k výrazné mezeře v jejich kybernetické odolnosti. V tomto kontextu musí malé firmy využít každou příležitost ke snížení potenciálních kybernetických rizik bez nutnosti dodatečných zdrojů. Právě zde může bezpečnostní hardening zásadně pomoci - vhodnou konfigurací systémů a sítí organizace dokáže výrazně snížit pravděpodobnost úspěšného útoku.

 

Co tedy bezpečnostní hardening znamená? Michal Lukáš, Head of Presales for Eastern Europe ve společnosti Kaspersky, vysvětluje, že: „Bezpečnostní hardening je souhrn technik a postupů, které pomáhají chránit infrastrukturu snížením útočné plochy, tedy v podstatě maximalizují bezpečnost stávajících systémů, aniž by bylo nutné ihned zavádět další ochranná řešení.“

Upozorňuje také na několik klíčových strategií, které mohou organizacím, zejména těm s omezenými nebo žádnými dedikovanými zdroji pro kybernetickou bezpečnost, pomoci snížit vystavení potenciálním útokům.

 

Podle Lukáše je prvním základním krokem snížení rizika neoprávněného přístupu k firemním systémům a datům. To vyžaduje prosazení přísné politiky hesel, která definuje požadavky na délku hesla, povolené znaky, zakázané kombinace, interval vypršení platnosti hesla apod. Součástí by měla být také doporučení pro bezpečné ukládání hesel, aby se vyloučily rizikové postupy.

Další nezbytnou praxí je používání dvoufaktorové autentizace. To znamená, že pro přístup ke konkrétním zdrojům nebo datům musí zaměstnanec ověřit svou identitu dvěma různými způsoby - například jednorázovým heslem, autentizační aplikací nebo hardwarovým klíčem. Pokud je dvoufaktorová autentizace zavedena, útočníkům nestačí samotné heslo zaměstnance; stále musí překonat druhý faktor, který poskytuje další vrstvu ochrany.

Nakonec Lukáš upozorňuje, že organizace musí zavést opatření pro řízení přístupu k síti, aby měly kontrolu nad tím, kteří uživatelé do firemní sítě vstupují a jakou úroveň oprávnění mají. Nastavení oprávnění ve firemní síti podle principu nejmenších oprávnění je osvědčenou praxí, protože uživatelé získají přístup pouze k systémům, které potřebují pro svou práci, nikoli k celému prostředí. V prostředí, kde mají zaměstnanci přístup pouze k nezbytným systémům, budou mít útočníci v případě případného průniku omezené možnosti laterálního pohybu v síti, což pomáhá minimalizovat potenciální škody. Užitečným doporučením je také pravidelně auditovat všechny účty a jejich oprávnění a odebírat ta, která již nejsou potřebná - například při odchodu zaměstnanců nebo při jejich přesunu do jiného oddělení.

Pravidelné a rychlé aktualizace operačních systémů, aplikací a dalšího softwaru mohou pomoci odstranit známé zranitelnosti, které by útočníci mohli zneužít ke kompromitaci firemních sítí, upozorňuje náš partner v rozhovoru. Vývoj softwaru se neustále posouvá kupředu, což přináší dvě hlavní výzvy: systém může rychle zastarat nebo se stát dokonce nepoužitelným, a ještě důležitější je, že se může stát zranitelným vůči kybernetickým útokům. Vývojáři tyto problémy řeší zaváděním nového kódu distribuovaného v rámci aktualizací. Aktualizace softwaru nejen opravují chyby nebo zlepšují výkon, ale mohou také obsahovat záplaty zranitelností odhalených během provozu softwaru. Kyberzločinci nikdy nevynechají příležitost zneužít známé zranitelnosti; některé z nich jsou zneužívány po celé roky, což ukazuje, že i mnoho let po vydání záplat je některé organizace stále nenainstalovaly.

 

Šifrování dat v klidu, tedy při jejich uložení například na discích, i dat při přenosu, například při pohybu mezi zařízeními v privátních sítích nebo přes internet, jak zdůrazňuje Michal Lukáš ze společnosti Kaspersky, chrání data před zachycením a neoprávněným přístupem. Dvě nejúčinnější technologie ochrany dat jsou šifrování na úrovni souborů a složek (File and Folder Level Encryption, FLE) a šifrování celého disku (Full Disk Encryption, FDE), které řeší různé úlohy. První z nich, FLE, chrání kritická data a omezuje přístup k nim, zatímco druhá, FDE, vylučuje možnost, aby se data dostala do rukou třetích stran i v případě ztráty nebo krádeže datového nosiče obsahujícího cenné informace.

FLE i FDE lze na firemních počítačích implementovat pomocí vestavěných nástrojů:

 

Díky zavedenému šifrování dat mohou organizace minimalizovat riziko zachycení důvěrných informací.

„Zálohování dat je zásadní pro zajištění jejich integrity v případě potenciálního kybernetického útoku, včetně útoků využívajících ransomware nebo wipery. Pro zajištění nepřetržitého procesu zálohování lze naplánovat automatické zálohy a šetřit tak čas, přičemž ruční zálohování samozřejmě zůstává také možností,“ říká Lukáš a vysvětluje:

Jakmile je samotný proces nastaven, je nutné pravidelně kontrolovat integritu záloh a provádět zkušební obnovy serveru v testovacím prostředí. Obecně je důležité ujistit se, že v případě potřeby bude obnova skutečně možná. Je třeba poznamenat, že pokud je zálohovací server umístěn uvnitř síťového perimetru, bude v případě potenciálního útoku ohrožena také samotná záloha, protože ji mohou útočníci zničit. Proto se doporučuje vytvářet několik záloh kritických dat a diverzifikovat jejich uložení, včetně ukládání dat na fyzická zařízení. Díky šifrování dat se snižuje riziko ztráty kritických dat a následného narušení podnikových procesů.

V neposlední řadě Lukáš zdůrazňuje, že organizace musí přijmout systematický přístup ke kybernetickému vzdělávání, pravidelně vyhodnocovat úroveň kybernetické gramotnosti zaměstnanců a zavádět školení, která vyplní mezery v jejich znalostech. Kybernetické školení by mělo být kontinuálním procesem. Mělo by zahrnovat základy informační bezpečnosti, osvědčené postupy pro správu dat a také typické scénáře útoků používané kyberzločinci, zejména techniky sociálního inženýrství. Organizace mohou navíc zařadit simulovaná phishingová cvičení, aby ověřily a posílily získané znalosti, a průběžně sledovat úspěšnost zaměstnanců s cílem odhalit mezery v kybernetických znalostech.

Vzhledem k tomu, že téměř dvě třetiny kybernetických incidentů jsou způsobeny lidskou chybou, průběžná práce na zvyšování povědomí zaměstnanců o existujících hrozbách může pomoci minimalizovat rizika útoků, které zneužívají lidský faktor.

Celkově techniky hardeningu popsané výše představují strategii pro snížení útočné plochy organizace, uzavírá Michal Lukáš. Zavedením těchto bezpečnostních opatření – ideálně společně s nasazením systémů detekce a prevence narušení a instalací řešení pro ochranu koncových bodů mohou organizace výrazně minimalizovat potenciální zranitelnosti. Díky tomuto proaktivnímu přístupu mohou posílit obranu proti kybernetickým hrozbám a zároveň snížit riziko neoprávněného přístupu k firemním sítím a systémům.